Hackerii au început să exploateze vulnerabilitatea de bypass a autentificării cu severitate critică (CVE-2024-27198) din TeamCity On-Premises, pe care JetBrains a abordat-o printr-o actualizare luni.
Exploatarea pare să fie masivă, cu sute de utilizatori noi creați pe instanțele neactualizate de TeamCity expuse pe web-ul public.
LeakIX, un motor de căutare pentru configurații de dispozitive expuse greșit și vulnerabilități, a declarat pentru BleepingComputer că puțin peste 1.700 de servere TeamCity nu au primit încă remedierea.
Majoritatea gazdelor vulnerabile indexate de LeakIX sunt în Germania, Statele Unite și Rusia, urmate la distanță de China, Olanda și Franța.
Dintre acestea, platforma indică faptul că hackerii au compromis deja mai mult de 1.440 de instanțe.
„Există între 3 și 300 de utilizatori creați pe instanțele compromise, de obicei modelul este de 8 caractere alfanumerice,” a declarat LeakIX pentru BleepingComputer.
GreyNoise, o companie care analizează traficul de scanare a internetului, a înregistrat de asemenea pe 5 martie o creștere bruscă a încercărilor de exploatare a CVE-2024-27198.
Potrivit statisticilor GreyNoise, cele mai multe încercări provin de la sisteme din Statele Unite pe infrastructura de găzduire DigitalOcean.
Gregory Boddin de la LeakIX a declarat pentru BleepingComputer că serverele TeamCity observate sunt mașini de producție folosite pentru construirea și implementarea software-ului.
Aceasta înseamnă că compromiterea lor ar putea duce la atacuri asupra lanțului de aprovizionare, deoarece pot conține detalii sensibile cum ar fi acreditările pentru mediile în care codul este implementat, publicat sau stocat (de exemplu, magazine și piețe, depozite, infrastructura companiei).
Compania de securitate cibernetică Rapid7 a exprimat aceeași îngrijorare într-o postare pe blog analizând vulnerabilitatea și modurile în care poate fi exploatată în atacuri.
„Compromiterea unui server TeamCity îi permite unui atacator control deplin asupra tuturor proiectelor, construirilor, agenților și artefactelor TeamCity, și ca atare este un vector potrivit pentru a poziționa un atacator pentru a efectua un atac asupra lanțului de aprovizionare” – Rapid7
CVE-2024-27198 are un scor de severitate critică de 9,8 din 10 și afectează toate versiunile până la 2023.11.4 a versiunii on-premise a TeamCity.
Este prezent în componenta web a serverului și poate permite unui atacator la distanță, neautentificat să preia controlul unui server vulnerabil cu privilegii de administrator.
Descoperit de Stephen Fewer, un cercetător principal în securitate la Rapid7, vulnerabilitatea a fost raportată către JetBrains la mijlocul lunii februarie și a fost remediată la 4 martie.
Rapid7 a publicat detalii tehnice complete despre ce cauzează problema și a demonstrat cum un atacator ar putea să o expună pentru a realiza execuție de cod la distanță.
JetBrains a anunțat luni lansarea TeamCity 2023.11.4 cu o soluție pentru CVE-2024-27198, încurajând toți utilizatorii să actualizeze instanțele la cea mai recentă versiune.
Cu exploatarea masivă deja observată, administratorii instanțelor on-premise TeamCity ar trebui să ia măsuri urgente pentru a instala cea mai nouă versiune.
Exploatare disponibilă pentru noua vulnerabilitate de bypass al autentificării critice din TeamCity, remediați acum
JetBrains avertizează asupra noii vulnerabilități de bypass al autentificării din TeamCity
Hackerii exploatează vulnerabilitatea critică de execuție de cod la distanță în constructorul de site-uri WordPress Bricks
Cel mai nou zero-day Ivanti SSRF acum sub exploatarea masivă
Exploatații lansate pentru vulnerabilitatea critică Jenkins RCE, remediați acum
Leave a Reply